Ganz schnell ausgehebelt

IT-Sicherheit scheitert an Nachlässigkeit

Nicht selten scheitert IT-Sicherheit schon an der alltäglichen Nachlässigkeit der Mitarbeiter.

Einbrecher

Wenn die Tür offen gelassen wird, nützt das beste Türschloss nichts.

Das beste Türschloss nützt wenig bis nichts, wenn die Türe offengelassen wird. Genau so ergeht es neun von zehn deutschen Unternehmen. Denn: Die IT-Sicherheit ist bei 90 Prozent nicht etwa durch veraltete respektive schlechte Hardware, Spionage oder gar Distributed-Denial-of-Service-Angriffen (DDoS) gefährdet. Vielmehr entsteht das größte Sicherheitsrisiko durch die Nachlässigkeit und Bequemlichkeit der eigenen Mitarbeiter. Munter werden sensible Daten beispielsweise durch offene Kanäle wie Handy-Apps, soziale Netzwerke oder E-Mails weitergereicht. Mitarbeiter sollten aber verstehen, dass gelebte Sicherheit bedeutet, Maßnahmen auch einzuhalten. Immerhin sind sie als kritischer Beitrag zum Unternehmenserfolg notwendig und wenn man will, dann können sie sehr leicht, schnell und kostensparend umgesetzt werden.

Die meisten Unternehmen organisieren sich hinsichtlich ihrer Sicherheit einfach falsch. De facto zeigen Auswertungen, beispielsweise des Sicherheitsanbieters Securisk, dass bei 90 Prozent so etwas wie eine Sicherheitsorganisation überhaupt nicht vorhanden ist. Dabei bedeutet Sicherheitsorganisation nicht zwingend State-oft-the-Art-Technologie. Oftmals genügt es, der Unternehmensstruktur angepasste Informationssicherheitsmanagementsysteme (ISMS) einzurichten. Diese ISMS gewährleisten die Sicherheit nicht nur technisch. Sie stellen sie auch infolge von wichtigen internationalen Normen, wie zum Beispiel der ISO 27001, sicher. Nicht zuletzt werden die Angestellten und Führungskräfte im richtigen Umgang mit Sicherheit geschult.

Sicherheitslücke mobile Apps


Sicher ist es bequem, die nötige Information mal eben schnell per Whatsapp an den Kollegen zu schicken. Und es kostet auch nichts. Nun machen aber solche Apps nicht nur die gesendeten Informationen für jeden lesbar, der versteht sie abzufangen. Diese Apps greifen automatisch jede Menge Daten des Smartphones ab. Ist das Device zusätzlich über VPN mit dem Firmennetzwerk verbunden, betrifft das deutlich mehr Informationen als „nur“ das Adressbuch. Als wäre es nicht schon ungünstig genug, dass die Informationen offen liegen, bleibt es dafür verborgen, wohin sie gesendet und gespeichert werden. Mitarbeiter sollten daher sensibilisiert werden, keine Informationen über das Unternehmen per Whatsapp und Co. vom privaten Smartphone zu versenden. Geht es um ein Dienst-Smartphone, dann sollten einige Apps nicht darauf installiert werden dürfen. Zudem kann die VPN-Sicherheit angepasst werden, um Zugriffe zu minimieren. Lösungen für solche „gehärteten Handys“ gibt es bereits.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2016. Bestellen Sie ein kostenfreies Probe-Abo.

Analog verhält es sich mit der Kommunikation in sozialen Netzwerken. Tatsächlich sammeln sich dort sogar eigens spezialisierte Informationsdiebe, die Mitarbeiter bestimmter Firmen gezielt aushorchen. Bei sozialen Netzwerken kommt allerdings noch ein wichtiger psychologischer Aspekt hinzu: Sie sind das Sprachrohr jedermanns. Besonders, wenn Frau oder Herr Jedermann sich Luft machen möchte. Auch hier helfen Schulungen, um die User Awareness zu steigern. Besonders für Firmenprofile empfehlen sich Textbausteine und kommunikativ ausgebildete Mitarbeiter. Selbstverständlich hilft auch die Einsicht, dass ein privater verfasster, frustrierter Beitrag nicht nur dem Firmenimage schadet, sondern am Ende dem Angestellten selbst.

E-Mails hebeln Sicherheit aus


Von kleinen Textdateien bis zu riesigen Anhängen: Kaum ein Unternehmen, bei dem es relevant wäre, kontrolliert, welche Informationen über E-Mail versendet werden. Hat die E-Mail das Postfach verlassen und ist der „Gesendet“-Ordner geleert, kann selbst im Log nur nachgewiesen werden, dass eine E-Mail versendet wurde. Im besten Falle noch an wen, aber nicht mit welchem Inhalt. Egal ob es der Mitarbeiter nur gut meint und sich eine Datei für eine Weiterarbeit von zuhause an seinen Yahoo-Account schickt oder ähnlich zur Handy-App das E-Mailkonto für private Zwecke nutzt: Die Sicherheit wird ausgehebelt. Dabei können bereits kleine technische Mittel das verhindern. Und da es nicht um Arbeitskontrolle geht, sondern um die Sicherheit des Unternehmens, hilft ein kleiner Zusatz im Arbeitsvertrag, dass die Nutzung der dienstlichen E-Mail-Adresse für private Zwecke verboten ist.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok